Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
2024-03-07
"Солар" обезвредил хакеров, атакующих российское ведомство
2024-03-07
ГК "Солар": иностранная хакерская группировка шпионила за российским ведомством
2024-03-12
ГК «Солар»: иностранная хакерская группировка шпионила за российским ведомством
Назад
ComNews.ru - Цифровая Трансформация, Телекоммуникации и ИТ
2 года назад

"Солар" обезвредил хакеров, атакующих российское ведомство

Вчера, 6 марта, ГК "Солар" сообщила, что злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удаленного управления – скомпрометированные серверы организаций в разных странах.

Эксперт группы анализа вредоносного программного обеспечения (ВПО) центра исследования Solar 4RAYS ГК "Солар" Дмитрий Маричев рассказал журналисту ComNews, что в конце 2023 г. один из органов исполнительной власти, какой конкретно - он не сообщил, пригласил экспертную группу Solar 4RAYS провести комплексный анализ инфраструктуры (Compromise Assessment).

"Обнаруженная ВПО ранее нигде не встречалась. Зато в публичном пространстве удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 г", - сообщает ГК "Солар".

"Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нем управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований "Демокрит" в Греции", — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК "Солар" Алексей Фирш.

Из проведенного исследования Solar 4RAYS стало ясно, что кроме наличия серьезных технических и материальных ресурсов, группировка NGC2180 активно разрабатывает и применяет инструменты как минимум с 2021 г. Дмитрий Маричев считает, что если сотрудники информационной безопасности обнаружили атаку только в 2023 г., то это свидетельствует о профессионализме хакеров из NGC2180. "Solar 4RAYS не располагает данными о том, какие конкретно организации были атакованы этой хакерской группировкой в прошлом, но судя по используемым фишинговым документам, это русскоязычные цели", - поделился с журналистом ComNews Дмитрий Маричев.

"История про три года — это следы активности группы, которые эксперты обнаружили в ходе исследования публичного кибер-пространства. Какие именно организации были атакованы ранее, мы сказать не можем. Но это точно русскоязычные цели. Судя по нашему исследованию, злоумышленники осуществляли шпионскую деятельность: похищали данные с зараженных систем, файлы, документы и т.д. Их не интересовала деструктивная составляющая атаки, только шпионаж", - ответил Дмитрий Марычев.

Дмитрий Маричев рассказал журналисту ComNews, что было несколько версий этого ВПО, и что в разных случаях использовались отличающиеся друг от друга серверы в качестве управляющих. "Скорее всего, не стоит искать между ними связь. Очевидно, что хакеры использовали те серверы, которые удалось скомпрометировать", - сказал Дмитрий Маричев и отметил, что оценить причиненный ущерб инфраструктуре крайне сложно.

Эксперт группы анализа вредоносного программного обеспечения сообщил, что обнаруженные и исследованные инструменты и техники злоумышленников направлены на скрытый шпионаж. В сферу интересов таких группировок, как NGC2180, не входит уничтожение или нарушение работы атакованной инфраструктуры. Дмитрий Маричев считает, что деструктивные действия легко детектируются средствами защиты, работниками и службой безопасности, что идет вразрез с целями атакующих, поэтому в обычном понимании режим работы организации нарушен не был. В таких случаях Solar 4RAYS выдает рекомендации и консультации по обезвреживанию рабочих станций и серверов по всей инфраструктуре заказчика.

Генеральный директор iTPROTECT Андрей Мишуков считает, что принадлежность группировки NGC2180, которая вела шпионаж с помощью ВПО, к какой-то одной стране или к совокупности стран определить сложно.

Денис Кувшинов, руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies предполагает, что если в одном ведомстве обнаружили определенное ВПО, то есть большая вероятность, что в других ведомствах будут найдены похожие программы, поскольку злоумышленники часто проводят комплексные шпионские кампании на организации. Эксперты Positive Technologies считают, что в ВПО, о котором сообщил Solar 4RAYS, присутствуют элементы кода, которые напоминают почерк азиатских APT-группировок (APT - advanced persistent threat - постоянная серьезная угроза - прим. ComNews).

Андрей Мишуков считает, что закрепиться в государственной инфраструктуре вредоносному ПО в настоящее время крайне сложно. Именно поэтому злоумышленники и использовали самописное многоуровневое ПО, которого нет в антивирусных базах. Андрей Мишуков также говорит о том, что злоумышленникам требуется выстраивать многоуровневую систему проникновения и закрепления, если канала связи внутренней сети ведомства с интернетом не существует. "Это сложный и затратный процесс, который доступен немногим группам. Среди них вполне могут быть и иностранные технические разведки, т.к. они обладают большим финансированием", - пояснил Андрей Мишуков.

Руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies Денис Кувшинов прокомментировал: "Если в одном ведомстве обнаружили определенное ВПО, то есть большая вероятность, что в других ведомствах будут найдены похожие программы, поскольку злоумышленники часто проводят комплексные шпионские кампании на организации. Со своей стороны мы видим, что в данном вредоносном ПО присутствуют элементы кода, которые напоминают почерк азиатских APT-группировок".

Независимый эксперт по рынкам ИТ и телеком Вадим Плесский считает, что если разработчики пишут программное обеспечение в соответствии с современными методиками и при этом проводят тестирование – то взломать ПО достаточно сложно. "Как правило, хакеры взламывают устаревшее ПО, которое было выпущено много лет назад и к которому не были установлены патчи, связанные с безопасностью. Например, если компания установила фреймворк WordPress, который находится в публичном доступе, написанный на PHP, то с большой вероятностью она будет уязвима. Чтобы этого не произошло – надо использовать фреймворки и ПО, в которых маловероятно наличие уязвимостей, и которые прошли соответствующее тестирование", - поделился с журналистом ComNews Вадим Плесский.

https://www.comnews.ru/content/214548/2021-05-19/2021-w20/scenariyu-boe…

Независимый эксперт добавил, что если в компании используется доменная аутентификация и смарт-карты, то можно определить, какой пользователь использовал компьютер в каждый конкретный момент времени. Вадим Плесский пояснил, что, в корпоративных системах ведутся логи действий (пользователей) и этим логам можно определить, когда и каким образом произвел проникновение.

https://www.comnews.ru/content/231574/2024-02-14/2024-w07/1018/positive…

Назад